基於ISO27001和22301雙系統稽核員

課程大綱：  

Introduction開場

• 資訊安全和業務連續性案例
• ISO27001介紹
• 資訊安全
• ISO27000家族
• ISO22301介紹
• 供應鏈安全
• C-TPAT、TAPA、AEO、ISO28000

Section I ISO27001:2022

1) ISO27001前言與引言

• 國際標準框架

2) ISO27001要求

• 4組織環境
  • 理解組織和組織環境
  • 瞭解相關方的需求和期望
  • 確定資訊安全管理體系的範圍
  • 資訊安全管理體系
• 5領導力
  • 領導力和承諾
  • 方針
  • 組織角色、職責和權限
• 6規劃
  • 應對風險和機遇的行動
  • 總則
  • 資訊安全風險評估
  • 資訊安全風險處置
  • 資訊安全目標和規劃實現
  • 變更規劃
• 7支持
  • 資源
  • 能力
  • 意識
  • 溝通
  • 文件化資訊
  • 總則
  • 創建和更新
  • 受控文件化資訊
• 8運營
  • 運營的規劃與控制
  • 資訊安全風險評估
  • 資訊安全風險處置
• 資訊安全風險管理方法論專題
• 概念
  • 術語定義
  • 關鍵風險要素
• 標準
  • 風險評估流程和方法
  • 資産/威脅/弱點測量標準
  • 風險賦值標準
• 指南
  • 資産分類分級
  • 風險量化
  • 威脅/弱點評價和識別方法
  • 風險評價
  • 風險處置
• 實踐
  • 資産識別工具（5類資産）
• 9績效評價
  • 監視、測量、分析和評價
  • 內審
    • 總則
    • 內部審核方案
  • 管理評審
    • 總則
    • 管理評審輸入
    • 管理評審結果
• 10改進
  • 持續改進
  • 不符合和糾正措施

Section II ISO22301:2019

1) ISO22301前言與引言

2) ISO22301要求

• 4組織環境
  • 理解組織和組織環境
  • 瞭解相關方的需求和期望
  • 確定業務連續性管理體系的範圍
  • 業務連續性管理體系
• 5領導力
  • 領導力和承諾
  • 方針
  • 組織角色、職責和權限
• 6規劃
  • 應對風險和機遇的行動
  • 確定風險和機遇
  • 應對風險和機遇
  • 業務連續性目標和規劃實現
  • 建立業務連續性目標
  • 確定業務連續性目標
  • 變更規劃
• 7支持
  • 資源
  • 能力
  • 意識
  • 溝通
  • 文件化資訊
  • 總則
  • 創建和更新
  • 受控文件化資訊
• 8運營
  • 運營的規劃與控制
  • 業務影響分析和影響評估
• 業務影響分析方法論專題
• 前言
  • BIA與BCMS之間的關係
  • BIA、BIA過程、結果和成果
• 前提條件
  • 總則
  • 環境和範圍
  • 角色和職責
  • 承諾
• BIA過程
  • 基礎
  • 策劃BIA
    • BIA資訊收集方法
    • 總則
    • 文件評審
    • 訪談
    • 調研問卷
    • 研討會
  • 商定執行BIA過程的方法
    • 理解影響
    • 定義影響類型和準則
    • 規定時間範圍
    • 規定方法
• 執行BIA示例
  • 與最高管理者一起確定産品和服務的優先級
  • 確定優先活動
  • 確定資源和其他依賴關係
  • 分析和合幷BIA結果
  • 獲得最高管理者對BIA結果的批准
• 評審BIA
  • 評審BIA過程和方法
  • 評審BIA結果
  • 業務風險評估
  • 業務影響分析工具及示例參考
• 8運營
  • 業務連續性戰略和解决方案
  • 業務連續性計劃和程序
  • 演練
  • 業務連續性文件和能力評估
• 9績效評價
  • 監視、測量、分析和評價
  • 內審
    • 總則
    • 內部審核方案
  • 管理評審
    • 總則
    • 管理評審輸入
    • 管理評審結果
• 10改進
  • 不符合和糾正措施
  • 持續改進

Section III ISO27002:2022

a) A5 組織控制

• A5.1資訊安全政策
• A5.2資訊安全角色和責任
• A5.3職責分離
• A5.4管理責任
• A5.5與當局的聯繫
• A5.6與特殊利益集團的聯繫
• A5.7威脅情報
• A5.8項目管理中的資訊安全
• A5.9資訊和其他相關資産清單
• A5.10資訊和其他相關資産的可接受使用
• A5.11資産返還
• A5.12資訊分類
• A5.13資訊標簽
• A5.14資訊傳遞
• A5.15訪問控制
• A5.16身份管理
• A5.17認證資訊
• A5.18訪問權
• A5.19供應商關係中的資訊安全
• A5.20在供應商協議中解决資訊安全問題
• A5.21管理ICT供應鏈中的資訊安全
• A5.22供應商服務的監控、審查和變更管理
• A5.23使用雲服務的資訊安全
• A5.24資訊安全事件管理規劃和準備
• A5.25資訊安全事件的評估和决策
• A5.26應對資訊安全事件
• A5.27從資訊安全事件中吸取教訓
• A5.28收集證據
• A5.29中斷期間的資訊安全

b) 資訊安全業務連續性管理專題

• 概念
  • 術語定義
  • 業務連續性PDCA
• BCP\DRP\ERP
  • RTO和RPO
  • BCP制訂步驟與流程
  • 資訊安全基綫
• 做法
  • 態度
  • 彎路
  • 模板
• A5.30 ICT爲業務連續性做好準備
• A5.31法律、法規、監管和合同要求
• A5.32知識産權
• A5.33保護記錄
• A5.34 PII的隱私和保護
• A5.35資訊安全的獨立審查
• A5.36遵守資訊安全政策、規則和標準
• A5.37文件化的操作程序

c) A6 人員控制

• A6.1篩選
• A6.2雇傭條款和條件
• A6.3資訊安全意識、教育和培訓
• A6.4紀律程序
• A6.5雇傭關係終止或變更後的責任
• A6.6保密或保密協議
• A6.7遠程辦公
• A6.8資訊安全事件報告

d) A7 物理控制

• A7.1物理安全周界
• A7.2物理進入
• A7.3保護辦公室、房間和設施
• A7.4物理安全監控
• A7.5防止物理和環境威脅
• A7.6在安全區域工作
• A7.7清理桌面和屏幕
• A7.8設備選址和保護
• A7.9場外資産的安全
• A7.10存儲介質

e) A8 技術控制

• A8.1用戶終端設備
• A8.2特權訪問
• A8.3資訊訪問限制
• A8.4訪問源代碼
• A8.5安全認證
• A8.6容量管理
• A8.7防惡意軟件
• A8.8技術漏洞的管理
• A8.9配置管理
• A8.10資訊删除
• A8.11數據屏蔽
• A8.12數據防泄露
• A8.13資訊備份
• A8.14資訊處理設施的冗餘
• A8.15日志記錄
• A8.16監測活動
• A8.17時鐘同步
• A8.18特權程序的使用
• A8.19在運營系統上安裝軟件
• A8.20網絡安全
• A8.21網絡服務的安全
• A8.22網絡隔離
• A8.23網頁過濾
• A8.24密碼學的使用
• A8.25安全開發生命周期
• A8.26應用程序安全要求
• A8.27安全系統架構和工程原理
• A8.28安全編碼
• A8.29開發和驗收中的安全測試
• A8.30外包開發
• A8.31開發、測試和生産環境的分離
• A8.32變更管理
• A8.33測試資訊
• A8.34審計測試期間的資訊系統保護

Section IV 內審能力

1) 如何管理內審方案

• 術語與定義
• 內審規劃書（方案）
• 審核方案建立、實施、監審、改進

2) 如何實施內審

• 內審計劃
• 審核活動實施
• 審核報告

3) 如何獲取內審員能力

• 行爲、知識和技能
• 能力的獲得
• 審核員評價準則
• 如何應對審核老師

4) 如何開發內審指南

• 審核方法的應用
• 抽樣
• 管理體系合規性審核
• 準備工作文件
• 訪問及虛擬場所審核
• 面談
• 審核發現與總結

Section V 企業實踐（融進體系標準）

a) 合規工作流程

• 迎審合規工作流程 參考

b) 長期規劃

• 5年資訊安全規劃 參考

c) 中期目標

• 近中期（3年）目標及模塊工作 參考

d) 當年關鍵任務管理

• 當年資訊安全項目 參考

注：結合資訊安全風險管理講解

Section VI 結語

1. 倫理安全
2. 27000標準族及其他相關標準的關係
3. 22301與22317 BIA的映射關係
4. 27001/22301與TISAX、GDPR的關係

Section VII 認證考試

10道單選（20分）

10道多選（20分）

10道判斷（20分）

1道簡答（10分）

1道判標（15分）

1道論述（15分）

♦ 主辦單位保有課程變更、異動之權利，如有調整以現場公告為準。

♦ 請勿偽造他人身份資料進行報名以免觸犯法律。

♦ 研討會不提供客戶現場報名，未報名客戶請勿進場，並謝絕同業參加。

♦ 本活動恕無法為未能準時報到或當天無法出席者保留講義及座位。

  熱門課程資訊不漏接，重要標準更新一把抓! 快來加入德國萊因TUV LINE@ 官方帳號吧!